堤氏:「BNESIRT(Bandai Namco Entertainment Security Incident Response Team)」の堤と申します。私は、合併前のナムコでアミューズメント施設に勤務したり、ゲームの企画やプロデューサーをしたり、携帯電話のミドルウェアの営業したりと技術者ではありません。情報セキュリティに関わり始めて3年半ほどです。CSIRTについては、その基になる組織の運用が本格的に始まったのは2012年ですが、CSIRTの設立とNCA(Nippon CSIRT Association、日本シーサート協議会)に加盟して1年少しという若い組織です。若いといっても、中の人はやや、高齢です。
バンダイナムコ エンターテインメント 事業推進室 総務部 危機管理課 アシスタントマネージャー 堤光伸氏
基になる組織というのは外部公開しているウェブサービスを守るための組織横断型の組織です。私たちの場合は顧客にサービスを提供して対価を得るというビジネスが伸びている会社ということもあり、外に開いているウェブの部分を守ることが重要でした。セキュリティポリシーやガイドラインを定め、それを管理、促進、それを管理・促進するための組織を作る方針が示され、CSIRTの前身となる組織ができました。
しかし、2013~2014年頃から自分たちだけでやっていくことの限界が見えてきて、「他社はどうやっているのか」を知りたくなり調べると、CSIRTという用語に出会いました。そんな時、ちょうど行われた「CSIRTフォーラム2014」に初めて参加してCSIRTの必要性を認識し、さらに翌年の「CSIRTフォーラム2015」にも参加、CSIRT設立のノウハウを学んで、そこから先はトントン拍子でした。CSIRTフォーラム2015の翌月にはCSIRTを設立、さらに翌月にはNCAに加盟するというスピード展開でした。
CSIRTの設立自体は、内部と外部の関係なく関係者の手厚いご協力もあり、比較的苦労はしませんでした。基になる組織がありましたし、CISO(最高情報セキュリティ責任者)に理解いただいていたことも大きかったです。設立してからの方が苦労していますが、CSIRTとしてできることからやっていく、一つひとつ機能を強化、拡大している状況です。